网络工程设计研究报告

常熟理工学院

《网络工程设计》

课程设计报告

课题名称： NGIL实验室网络工程设计方案

学校： 常熟理工学院

学院/系： 计算机科学与工程学院/网络工程

姓名：

班级：

学号：

电话：

电子邮件：

提交日期： 20##-6-10

课程设计报告说明

1. 必须同时提交电子版和纸质版，缺一不可，否则视为没交。

2. 上交的电子报告文件名必须参考以下格式，否则视为没交。

《网络工程设计》课程设计报告_班级_学号_姓名.doc

例：《网络工程与设计》课程设计报告_09网络1班_090209101_董伟.doc

3. 禁止复制、拷贝和抄袭。

4. 复制、拷贝、抄袭者取消成绩。

5. 所有课题必须为一个基本完整的设计。课题设计报告书旨在能够清晰准确地阐述课题方案。设计内容参考以下方面：

（1）需求分析。

（2）技术方案设计，包括实验室布局设计、网络拓扑设计、IP规划与路由设计、网络性能、可靠性、安全性等设计、综合布线设计等。

（3）产品选型与项目材料清单，包括综合布线系统材料、网络设备（如路由器、交换机等）、服务器等。

（4）网络工程经费预算。

（5）网络工程技术路线。

（6）网络技术培训。

（7）网络工程验收。

6. 课程设计报告采用A4纸撰写。除标题外，所有内容必需为宋体、小四号字、1.5倍行距。具体参考附录的排版要求。

7. 课程设计报告自动生成目录，且章节页码正确。

8. 课题设计报告中各项目的说明文字部分仅供参考，课题设计报告书撰写完毕后，请删除所有说明文字。(本页不删除)

9. 课题设计报告模板里已经列的内容仅供参考，作者也可以修改或多加内容。

10.没有按报告说明要求者不及格。

目录

第一章摘要............................................................................................................................. 1

第二章网络用户需求分析........................................................................................................ 2

第三章 NGIL网络拓扑结构设计................................................................................................ 6

第四章 NGIL网络地址规划与路由设计.................................................................................... 11

第五章 NGIL网络性能设计...................................................................................................... 14

第六章 NGIL网络可靠性设计.................................................................................................. 17

第七章 NGIL网络安全性设计.................................................................................................. 18

第八章 NGIL网络综合布线设计............................................................................................... 20

参考文献................................................................................................................................. 22

第一章摘要

随着信息技术的飞速发展，教育现代化和信息化的步伐日益加快，在“校校通”实施工程大潮的推动下，越来越多的学校已开始建设校园网。校园网的发展已经对每个教育工作者的教育思想、教育观念产生着巨大的影响。校园网的建设与应用已被教育界人士视为加强素质教育、深化教学改革、提高教学质量以培养适应时代需要的人才的关键；是学校教育信息化的基础设施和重要标志，对实现学校的教育现代化起着支撑和保障作用。那么，如何构建优化的校园网，充分发挥校园网应有的效能已经成为目前学校普遍关注的问题。构建校园网的系统性、实用性、可行性、经济性、安全性、开放性及扩展升级性为原则，以硬件构建为基础，软件平台为保障，信息资源库建设为核心。

（1）关于什么是现代意义上的校园网，校园网的主要功能及总体目标问题。

现代意义上的校园网是指数字化、信息化和智能化的综合计算机局域网络，是一种为学校学习活动、教育教学活动、科研活动和管理活动服务的校园内局域网环境，它是建构在多媒体技术和现代网络技术之上并与外部城域网、Internet网和远程教育网相联接，实现教育信息资源共享、互相通讯交流的电子空间教育环境。

以信息技术为基础的校园网建设，将引起传统学校在教学观念、教学手段及教学内容方面的巨大变革，校园网络环境在教学过程、管理、日常办公、内外交流等各方面提供全面、切实的支持。

（2）关于什么是现代意义上的校园网，校园网的主要功能及总体目标问题。

① 能及时、准确、可*地采集、存储、处理、传输教育教学信息。

② 实现教学资源的高度共享，为教学、科研、管理提供服务，为领导规划、决策、管理提供基础信息和科学手段。

③ 能为教师备课、教学演示、学生交互学习、练习、考试和评价提供网络环境。

④ 教务管理和行政管理功能，实现办公自动化。

⑤ 能实现与因特网互联，完成与因特网通信和资源共享。

⑥ 提供与上级教育部门、社会、家庭通讯的出入口。

⑦ 能为实现校与校之间的教学、信息、人才的交互提供网络服务。

⑧ 能提供电子邮件、公告牌、教育教学信息查询等服务。

校园网络建设是利用现代信息处理技术、网络技术对传统工作进行全方位改造，包括管理模式、教育方式和教学环境，目标是面向全体师生，提高办学效益，实现学校办学的数字化、信息化和智能化。这是信息社会和网络时代对学校的要求，也是学校适应社会发展的必然走向。校园网的建设过程就是学校各项工作的现代化过程，它要求人的知识结构现代化、岗位设置最优化、信息资源电子化、基础工作标准化、软硬件的一致化、网络配置最佳化。

（3）关于结合校情，选择合适的校园网技术类型，进行总体规划，分布实施，滚动发展，与时俱进的构建投资问题。

1．校园网的技术选型：校园网的先进性固然重要，但要视实际情况而定。若是一所新建学校，没有任何教学网络产品，可直接构建纯数字化的计算机局域网。若学校原有如：电视网、广播网等教学子网，则应从实际出发考虑选择合适的校园网类型。校园网构建的目的是为了实用，不是为了装饰和点缀，不能游离于学校的实际。实用性是指所建的网络与具体学校的校情结合的程度。网络系统过大，超越学校的规模，有些功能得不到开发利用是一种浪费。网络过小驾驭不了学校的全部工作，发挥不出网络的整体效益，也是一种浪费，网络必须和学校的整体工作有机结合起来、融为一体，每一配置的目的必须明确和实用。分期分批构建，使校园网络硬软件同步滚动发展。

（4）关于教育软件和资源库建设与应用方面的思考

资源共享和互相通讯是校园网建设的目的，教育信息资源库的建设是校园网构建的核心。学校现代化是网络、技术、人员、组织结构、思想观念等全方位的现代化。在构建校园网过程中除思考以上几点外，还要充分重视培训，注重人的建设，使教师、学生、网管的培训要与校园网的建设同步进行。

第二章网络用户需求分析

1. NGIL实验室的需求分析

（1）NGIL实验室类型分析（NGIL实验室的一般情况分析）

答：根据对NGIL实验室基本情况的了解，NGIL实验室是教育系统中校园网类型，网络技术单一，采用宽带以太网技术。用户信息点在40个以下，地理分布范围在一个区域内,即一栋建筑物内，属于小型企业用户。网络内部交换能力要求不高，网络接入带宽一般10M以下就能满足用户需求。对网络的需求主要是利用因特网进行网页浏览、邮件收发、文件下载、网络聊天、视频点播等业务。

NGIL实验室是教育系统中校园网类型，网络技术单一，采用宽带以太网技术。双出口：宽带ChinaNet和中国教育科研网CERNet。

（2）NGIL网络功能需求分析（包括网络服务器要求、网络应用系统要求等）

答：因特网功能需求分析如下：域名系统（DNS）：满足用户域名与IP地址转换的业务需求；网页浏览（Web）：满足用户新闻阅读、资料查找、信息发布等业务要求；邮件收发（Email）：满足用户的的信息交流。文件传输（FTP）：满足用户能够互相传送一些文件；网络论坛（BBS）：满足用户对问题的讨论；网络聊天（IM）：满足用户的即时通信、信息沟通、协同工作等业务要求；视频点播（VOD）：满足用户能够观看网络上的视频。资源共享：实现网络的硬件和软件共享。

（3）NGIL网络基本结构需求分析

答：网络采用接入层，核心层两层结构模式，网络采用星型的网络拓扑结构，采用VLAN进行工作组的划分，网络节点的服务器安排在核心层，网络主干链路采用双绞线。接入层负责将用户主机连接到网络中，提供最靠近用户的服务，接入层网络采用通用的星形拓扑结构，不采用冗余链路，也不提供路由功能，采用48口二层交换机。核心层主要实现数据包的高速交换，将服务子网集中在核心层，避免核心层网络配置的复杂度。

（4）NGIL网络投资约束条件分析

答：服务器主机，个人计算机多台，交换机，路由器，其他设备，安全产品，布线设备，系统软件，系统建设，网络维护，线路接入，人员培训，网络管理。

网络系统投资成本如表2所示：

表2 NGIL网络系统投资成本一览表

（5）NGIL网络性能需求分析

答：网络性能与带宽、流量、QoS（服务质量）、拥塞、实时性、突发性和数据流向等诸多因素有关，其中核心参数是网络带宽。对最终用户来说，对网络带宽的需求会随网络通信能力的增强而无限增加，达到“带宽无极限”的用户追求的一种理想状态，用户的平均最低接入带宽为256kbit/s，用户对带宽的需求会随网络通信能力的增强而无限增加，网络性能与投资成本成比例增加。网络服务的通信流量主要有以下4种情况：偶尔少量的通信，如DNS查询、突发性通信，如网页浏览、固定带宽的流式传输，如网络视频点播、语言应用、不定带宽的数据传输应用，如FTP文件下载、BT下载等。

（6）NGIL网络可靠性需求分析

答：网络可靠性设计原则是：冗余、品牌、可靠性、维修能力、恢复能力、响应和活力。设备制造商一直在产品设计中保持一定的冗余；品牌之产品供应商一贯的良好记录；响应是指紧急情况下，所有相关人员解决问题、排除故障的能力；维修能力是指网络工程师能够解决或者替换有问题部件的能力；恢复能力是指克服瞬间失败的能力，它小到从一个内存单元的错误中恢复，大到整个服务器系统转移到热备系统上，而不丢失数据；为了增加设备的可靠性，一些网络设备采用了不间断转发技术；在网络结构设计中，存储网络系统、高可用性集群网络系统和容灾备份网络系统等，都有很好的可靠性。需要RAID进行数据自动备份；需要系统备份和快速恢复功能；需要建立SAN（区域存储网络）；需要具有容错功能的服务器及网络设备；出现故障时是否能够迅速恢复；相同设备之间可以相互替代；网络不能因出现单点故障而引起全网瘫痪。

（8） NGIL网络安全需求分析

答：系统软件和硬件的安全分析：网络设备安全功能，网络传输介质保护，采用安全性较高的网络操作系统，网络操作系统和服务器软件存在漏洞，应及时进行补丁程序升级。数据安全分析：访问者身份认证，关键文件权限严格限制，操作系统日志功能，保护通过VPN传送远程站点的数据。

入侵防护安全需求分析：安全隔离系统，网络安全系统，防止消耗带宽攻击方式，采用防火墙技术。

网络安全的目标是使用户的网络资源损失最小化，保护数据不会遭到来自网络的非法访问和恶意破坏，建立确认访问者身份的认证系统，利用日志对用户访问的信息进行记录，建立防火墙。

（8）NGIL网络管理需求分析

答：网络管理包括两个方面的内容：一是人为制定的管理规定和策略，用于规范网络管理人员操作网络的行为；二是网络管理员利用网络设备和网管软件提供的功能，对网络进行的操作。目前大部分网络设备支持SNMP（简单网络管理协议）对网络进行管理，网络管理一般包括性能管理、配置管理、安全管理、故障管理和计费管理等内容。

需要对网络进行远程管理，选择网管软件（需要支持现有的网络设备，兼容现有的操作系统），网络设备（如交换机）支持那些网络管理协议和网络管理软件，网络流量管理，网络拥塞管理，网络故障定位。

（9）NGIL网络扩展性需求分析

答：网络扩展时应当满足以下要求：一是新用户或部门能够简单地接入现有网络；二是新业务能够无缝地在现有网络上运行；三是现有网络拓扑结构无需做大的更改；四是原有设备能够得到很好的利用；五是网络性能恶化在用户允许范围内。。

教师和学生数量增加，网络性能扩展，网络结构扩展，网络设备扩展，网络软件扩展。

第三章 NGIL网络拓扑结构设计

1.拓扑设计与设计原则

局域网采用星型网络拓扑结构，星型拓扑结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。

优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。

局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。

校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。

根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。

我们遵循以下的原则进行网络设计：

（1）实用性和经济性

网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。

（2）先进性和成熟性

网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。

（3）可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，Cisco公司作为知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。

为了保证骨干网络平台的健壮性和链路冗余性，网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。

（4）安全性和保密性

在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，充分考虑Cisco公司安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。

（5）可扩展性和可管理性

由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。

为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。

先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。

2. 拓扑设计方案

2.1NGIL网络拓扑结构图

（1）网络拓扑图：实验需要为三个实验室提供网络服务，常熟理工学院的师生提供教师科研、学生项目及创新实践、学科竞赛、毕业设计的平台，包括：信息安全、网络工程、Web系统应用、计算机取证、数据恢复等。从学校获得校园网内部IP地址：10.28.45.0/24；教育网IP地址：210.28.164.0/24。

实验主要有固定的教师机和固定的学生机，这部分需要分配相应的网址，其他的以通过无线网络进行连接，使用DHCP分配获得IP地址来连接互联网并与其他络进行通信。通过路由器连接外网，分成两个网络，一个提供给教师机，一个提给学生，在学生内部采用一个局域网和无线网技术。

图1 NGIL网络拓扑结构图

（2）网络拓扑及说明：用两个路由器与外网进行通信。用两个防火墙保证内部网络尽量少的受到外网的攻击，也能最大限度的过滤不必要的信息。教育网中的三个IP分配给教师实验室，其中划分教育网中的2个IP作为教师的WWW服务器和FTP服务器，并划分一个固定的教育网IP，以保证教师机的网速带宽等因素。将一个IP划分给学生，一部分供局域网，一部分供无线网。

（3）设备选择：主要包括2台路由器，2个防火墙，1个交换机，1个无线路由器，2台服务器，7台台式机。内网的通信介质使用RJ45接口的UTP，与外网通信的使用光纤。无线路由器放至于409实验室中，以求达到最大覆盖范围，并减少受天气影响造成的通信问题

2.2 NGIL网络分层设计（说明）

由于NGIL网络属于小型的局域网，因此采用两层结构就能满足用户需求。

（1）接入层设计

接入层负责将用户主机连接到网络中，提供最靠近用户的服务。接入层网络采用通用的星形拓扑结构，不采用冗余链路，也不提供路由功能，采用48口二层交换机。

（2）核心层设计

核心层主要实现数据包的高速交换，将服务子网集中在核心层，避免核心层网络配置的复杂度。

2.3 NGIL有线局域网设计（说明）

将网络划分成2个小的局域网，其中一个为学生的，一个为教师的。

2.4 NGIL无线局域网设计（说明）

无线局域网设计实现中国NGIL实验室范围无线网络接入环境，再覆盖范围内用户能够通过无线网络访问Internet网。

2.5 NGIL网络VLAN设计（说明）

同一VLAN中的主机可以自由通信，不同VALN之间的主机通信，必须通过路由进行信号转发，VLAN可以为交换机提供独立的广播域。

（1）VLAN的划分方法

采用基于端口的VLAN划分方法，将接入层交换机每一个端口划分为一个独立的VLAN分组，这样可以控制各个用户终端之间的互访性。

（2）VLAN的基本配置原则

VLAN1为交换机默认VLAN，无需创建；VLAN组成员分布于多台交换机上时，需在每台交换机上创建该VLAN，并将成员加入到同一VLAN组内；交换机创建VLAN的数可大于交换机端口数。

2.6 NGIL网络服务子网设计（说明）

服务子网设计在网络的哪个层次，对网络性能影响很大。

(1)服务子网结构设计：

1、集中式服务设计模型2、分布式服务设计模型

(2)网络结构扩展设计

1、扩展性要求2、接入能力扩展3、处理能力扩展4、网络带宽扩展

5、网络规模扩展6、网络平滑扩展

(3)IPv4网络升级设计

1、双协议栈技术2、隧道技术3、其他技术

(4)优缺点

优点：网络结构简单，便于管理；

缺点：增加核心层负荷，增加网络链路流量，网络可靠性不好。

2.7 NGIL网络互联网接入设计（说明）

使用教育网和电信网接入互联网，当一个网络出现问题可以使用另一个网络。

第四章 NGIL网络地址规划与路由设计

1.网络地址规划与路由设计相关概念

1.1 IP地址规划设计与分配原则

在IP网络中，必须为网络中每一台主机分配一个唯一的IP地址。IP地址的分配可以采用静态分配和动态分配两种方式，静态分配是指由网络工程师为每台主机指定一个固定不变的IP地址，并在主机上手工配置。动态分配则由网络工程师在服务器主机中配置DHCP来实现。

网络中需要规划的IP地址包括网络设备端口互联地址、网络设备管理地址、用户地址和网络业务地址等。IP地址的规划设计与分配应遵循以下原则：1）按需分配，避免地址浪费；2）利用技术，高效划分；3）保持地址的连续性；4）合理预留地址；5）内网地址私有化，在不影响网络服务的前提下，内部网络应尽量使用私有地址；6）限制静态地址分配；7）AS（自治系统）号码的分配。

1.2 网络IP地址规划

在IP网络中，必须为网络中每一台主机分配一个唯一的IP地址。IP地址的分配可以采用静态分配和动态分配两种方式，静态分配是指由网络工程师为每台主机指定一个固定不变的IP地址，并在主机上手工配置。动态分配则由网络工程师在服务器主机中配置DHCP来实现。无论选择哪种地址分配方法，在同一网络中，不允许任何两个接口拥有相同的IP地址，否则将导致网络冲突，使两台主机都不能正常运行。

一些网络设备需要静态IP地址，如各种网络服务器主机（如DNS服务器等）、路由器等，都需要固定的IP地址。在这些网络服务器主机中，往往分配多个IP地址。网络中需要规划的IP地址包括网络设备端口互联地址、网络设备管理地址、用户地址和网络业务地址等。

1.3 路由技术

路由是信息通过一条路径从源地址转移到目标地址的过程。路由器是从一个物理网向另一个物理网发送数据包的设备，路由器设备是一台专用计算机，路由器也称为网关。

（1）静态路由技术

静态路由按照网络工程师预先设计好的路径进行路由选择，如直连静态路由、静态缺省路由等，热备份路由（HSRP）和策略路由（PBR）本质上也是一种静态路由。静态路由由网络工程师采用手工方法在路由器中进行配置。静态路由可以减少路由数据过载问题，对于拓扑结构极少变化的网络可以使用静态路由。大型和复杂的网络环境通常不宜采用静态路由。

（2）动态路由技术

动态路由可以根据网络结构，通信量等变化，自动调整路由。动态路由有距离向量路由算法（如RIP）、链路状态路由（如OSPF）、分级路由（如BGP）等。采用动态路由时，路由器能自动建立路由表，并且能根据网络变化的情况适时进行调整。动态路由有两个基本功能：①是路由器自动维护内部的路由表；②是在路由器之间交换路由信息。

1.4 NAT技术存在的问题

一些安全协议不能跨NAT设备使用，因为IP源地址的原始包头中可能采用了数字签名等安全技术，如果改变源地址，数字签名将不再有效。使用IPSec（IP安全）协议构建VPN（虚拟专用网）时，NAT设备应置于VPN受保护的一侧，因为NAT需要改动IP报头中的地址域，而IPSec报头中IP地址被改变后，IPSec的安全机制也就失效了。NAT不能多层嵌套使用，它容易造成路由拥塞。

2. NGIL网络IP地址规划

2.1子网IP地址规划与配置

将IP10.18.45.0/24地址划分为8个子网，将

10.18.45.0/27,10.18.45.32/27,10.18.45.64/27,

10.18.45.96/27,10.18.45.128/27,

10.18.45.160/27用于学生组

10.18.45.192/27用于教师组

10.18.45.224/27用于服务器地址的分配

2.2服务子网IP地址规划与配置

综合服务器IP地址为10.18.45.225

2.3 NGIL网络IP地址配置表

学生区IP地址规划：

一组：10.18.45.1/27~10.18.45.6/27

二组：10.18.45.33/27~10.18.45.38/27

三组：10.18.45.65/27~10.18.45.70/27

四组：10.18.45.97/27~10.18.45.102/27

五组：10.18.45.129/27~10.18.45.134/27

六组：10.18.45.161/27~10.18.45.166/27

教师组：10.18.45.193/27~10.18.45.195/27

2.4 NGIL网络路由设计与配置

（1）静态路由基本配置

设置路由的地址为10.18.45.254

（2）RIP动态路由配置

无

第五章 NGIL网络性能设计

1.根据NGIL网络的用户需求，对NGIL网络的带宽管理、流量控制、服务质量保证和网络负载均衡等方面进行设计和说明。

1.1NGIL实验室背景

常熟理工下一代互联网实验室（NGIL）为常熟理工学院校级重点实验室。它位于东南校区九章楼406、410和409。房间面积分别为8.4*4.2m²、8.4*4.2m²和8.4*12.6m²。

NGIL实验室为常熟理工学院的师生提供教师科研、学生项目及创新实践、学科竞赛、毕业设计的平台。

NGIL实验室的研究方向包括：信息安全、网络工程、Web系统应用、计算机取证、数据恢复等。

NGIL实验室具有不同的功能区，例如教师工作区、学生学习区、学术/学习交流讨论区、成果展示区、休闲/休息区等。

从学校获得校园网内部IP地址：10.28.45.0/24；教育网IP地址：210.28.164.0/24。

1.2要求/提示

(1) 进行需求分析。

(2) 网络应用情况（如Web、QQ/P2P/Video/上网时段等）。

(3) 实验室提供各种可能的网络服务（如Web服务、Ftp服务等）。

(4) 接入方式，即与外网的连接方式（如接入校园网）。

(5) IP地址规划（如IP地址分配、VLAN等因素）。

(6) 路由规划

(7) 有线局域网（如集线器、交换机等）、无线局域网（无线AP等）、AD Hoc网络等。

(8) 网络拓扑绘图。

(9) 信息点计算。

(10) 网络传输介质选型（如双绞线、无线等）。

2.NGIL网络带宽分析与设计

（1）带宽不稳定分析

全部网络设备做非阻塞式设计投资相当大能否达到100M到桌面与网络结构采用阻塞式设计相关；双绞线线路质量的好坏，对网络带宽影响很大；100M带宽只是理论上的速率，实际上在信号传输过程中药扣除大约扣除大约10%的系统开销；以太网负载超过50%时，容易发生广播风暴；线路环境温度过高、信息插座或接头氧化、环境电磁干扰过大等，都会造成网络带宽下降。

（2）用户网络业务最低带宽需求

不同的用户业务，需要不同的网络带宽；局域网用户要求较高的带宽，而且网络上行链路和下行链路的带宽相差不多；在因特网中，下行速率与上行速率不一致，用户对下行速率要求较多。

（3）网络带宽设计

采用非阻塞式设计网络带宽，上层（如核心层）链路带宽大于或等于下层（如接入层）链路带宽的总和，这种设计的网络汇聚节点负载轻，网络扩展性好，但是工程成本偏高。

3. NGIL网络流量分析与设计

带宽是一个固定值，流量是一个变化的量。根据用户数据流量特性进行网络流量设计和管理。采用分层网络的流量模型：从接入层流向核心层时，收敛在高速链路上；从核心层流向接入层时，发散到低速链路上；核心层设备汇聚的网络流量最大；接入层设备的流量相对较小。

4. NGIL网络服务质量分析与设计

QoS（服务质量）是指IP网络在传输数据流时，满足一系列服务请求的实现机制。服务请求可以用以下指标来衡量：传输时延、延迟抖动、数据包丢失率、吞吐量、带宽等。QoS的目标是提供端到端的服务质量保证。传输层服务质量的典型参数有：连接建立延迟、连接建立失败的概率、吞吐率、传输时延、误码率、安全保护、优先级、恢复功能等。

采用DiffServ区分业务模型，将用户业务划分为几种业务类型，为不同业务类型提供相应的优先权；对流量进行整形、队列调度等处理，减少网络拥塞。

5. NGIL网络负载均衡分析与设计

在网络出口处部署一台负载均衡设备，设计2条接入Internet的链路，并对这2条链路进行负载均衡。这样就可以同时实现输出流量（内部用户访问Internet）和输入流量（Internet用户访问企业服务器）的负载均衡。通过软件和硬件设置，将多块网卡绑定在同一个IP地址上，合成一个逻辑链路进行工作。采用双网卡硬件负载均衡技术：多网卡绑定可以增大带宽；可以形成网卡冗余阵列、负载均衡；双网卡绑定后，对服务器的访问流量被均衡分担到2块网卡上，这样每块网卡的负载就小多了，提高了并发访问能力，保证了服务器访问的稳定；其中一块网卡发生故障时，另一块网卡会立刻接管全部负载，保证服务不会中断。

负载均衡的设计要求：

（1）输出和输入接口的流量均衡。

（2）支持动态和静态路由的路径选择。

（3）链路健康状态检测。

（4）冗余均衡。

（5）易管理性。

（6）负载均衡的技术参数。

第六章 NGIL网络可靠性设计

1. NGIL网络冗余设计

（1） 出口链路的冗余设计

为了保证网络的稳定性，我们在下一代互联网实验室的出口链路采用冗余设计，这样就解决了出口链路上的单点故障问题。

（2） 网络出口的路由器冗余设计

在网络出口的地方多增加一个路由器，以防止另一台路由器出现故障。

（3） Web服务器的冗余设计

下一代互联网实验室提供了Web功能，这就需要保证其具有较高的稳定性，多以我们对其进行冗余设计，多增加一台Web服务器。

2. NGIL网络存储设计

在下一代互联网实验室中，设计存储网络时，我们采用了RAID磁盘阵列技术，需要投资的费用比较低，又能满足我们的要求。在设计的时候，考虑到我们存储的数据量不是很大，但是要有很好的可靠性。我们采用了RAID1镜像技术，阵列中有两块硬盘在写入数据时，RAID1控制器将数据同时写入两块硬盘。这样，其中任何一块硬盘的数据出现问题，可以马上从另一块硬盘中进行恢复。这两块硬盘不是主从关系，而是相互镜像的关系。

3. NGIL网络集群设计

集群系统是将2台以上的计算机（如PC服务器），通过软件（如Rose HA）和网络（如以太网与RS-232），将不同的设备（如磁盘阵列）连接在一起，组成一个高可用的超级计算机群组，协同完成大型计算任务。然后下一代互联网实验室要求任务不是很大，故不需要采用集群软件。

在下一代互联网实验室中，由于只是一些科研项目，提供的一些服务不需要很高的性能，所以不需要进行集群设计。

第七章 NGIL网络安全性设计

1. NGIL网络安全分析与设计

网络安全技术有以下几种：IDS网络安全设计、IPS网络安全设计ACL网络安全技术以及VPN网络安全设计。

（1） 网络体系结构存在缺陷

没有对内部网和外部网进行有效的隔离，入侵就很难避免，所以要采用防火墙技术将内网和外网进行有效的隔离。

（2） 防网络病毒设计

用户基本上都是通过企业网络访问Internet，而Internet上的许多资源都暗藏病毒。若某个用户的计算机上没有安装防病毒系统，那么该计算机就极易被病毒感染。当网络中的计算机被感染后，病毒就通过Internet进入了企业网内部。为了局域网中杜绝病毒的感染，传播和发作，应该在整个网络内可能感染和传播的地方采取相应的防病毒手段。

（3） 网络内部威胁

根据不同的研究结果表明，大约有70％-85％的安全事故来自内部网。因此要提高实验室使用人员的安全意识。加强对使用人员的管理。

（4） 认证系统设计

建立身份认证系统，采取相应的认证手段，只有授权用户方可进入网络，有效保障网络的安全。

2. NGIL网络防火墙设计

防火墙是由软件或硬件构成的网络安全系统，用来在两个网络之间实施访问控制策略。防火墙提供的网络安全服务包括机密性、完整性和可用性。具体来说，这种策略主要基于以下两种：1、不让不该进来的信息进入2、不让不该出去的信息泄漏出去。

防火墙是内部网络与外部网络通信的唯一途径。也就是说，所有从内网到外网或从外网到内网的通信都必须经过防火墙，否则，防火墙将无法起到保护作用。网络工程师在防火墙中制订一套完整的安全策略，只有经过安全策略证实的数据流，才可以完成通信。防火墙本身应当是一个安全、可靠、防攻击的可信任系统，它自身应有足够的可靠性和抵御外界对防火墙的任何攻击。

防火墙体系结构：

（1）单防火墙DMZ网络结构：单防火墙DMZ结构将网络划分为3个区域，即内网（LAN）、外网（Internet）和DMZ。DMZ是外网与内网之间附加的一个安全层，这个安全与也成为屏蔽子网、过滤子网等。这种网络结构构建成本低，多用于小型企业网络设计。

（2）双防火墙DMZ网络结构：在双防火墙DMZ网络结构中，防火墙通常与网络中的边界路由器一起协同工作，边界路由器是网络安全的第一道屏障。通常的做法是在路由器中设置数据包过滤和ＮＡＴ功能，让防火墙完成特定的端口阻塞和数据包检查，这样在整体上提高了网络性能。

2.1网络机构设计

本实验采用单防火墙DMZ网络结构，将网络划分为3个区域，及内网（LAN）、外网（Internet）和DMZ，所有内部网络和外部网络之间的数据交换都必须经过防火墙。

2.2制定DMZ访问安全策略

内网可以访问外网和DMZ，外网不能访问内网，外网可以访问DMZ，DMZ不能访问内网。

第八章 NGIL网络综合布线设计

1. 综合布线系统设计原理

综合布线系统设计要根据建筑结构和用户需求来确定，这一过程主要包括以下几个要点：尽量满足用户的通信要求；要了解建筑物内部的通信环境；确定合适的通信网络拓扑结构；选取将要使用的传输介质；以开放式为基础，尽量与大多数厂家的产品和设备兼容，按照通用的标准进行设计；系统初步设计成本估算；将系统初步设计和建设费用预算告知用户；最后在征得用户意见并签订合同后，在制定详细的设计方案。

综合布线可采用UTP,STP或者光缆，在欧洲综合布线所采用的线缆占主流的是屏蔽系统，而在北美广泛使用的是非屏蔽系统，在高容量主干及严重干扰的情况下就使用光缆作为屏蔽系统。但STP屏蔽式系统若使用不当，非但达不到整体的屏蔽的完整性，其性能会比UTP系统更差。UTP是目前较为成熟、可靠的商用建筑综合布线系统所采用的线缆，通常情况下也可以满足在干扰环境下的使用需求。所以建议使用UTP或光缆。

选择的线缆、接插件、其他设备应具有良好的物理和电气性能，而且价格适中;实用性原则：设计、选择的系统应满足用户在现在和未来10至15年内对通信线路的要求;灵活性原则：做到信息口设备合理，可即插即用;扩充性原则：尽可能采用易于扩展的结构和接插件;易管理原则：便于管理，有统一标识，方便配线、跳线。网络实验室的布线系统直接影响到未来网络实验室的功能，一般布线系统要求布线距离尽量短而整齐，排列有序。具体的方式有“田”字形和“井”字形两种：“田”字形较适用于环形网络实验室布局，“井”字形较适用于纵横式网络实验室布局，它的位置可安排在地板下，也可吊顶安装，各有特点。

电源布线：在新网络实验室装修进行电源布线时，应根据整个网络实验室的布局和UPS的容量来安排，在规划中的每个机柜和设备附近，安排相应的电源插座，插座的容量应根据接入设备的功率来定，并留有一定的冗余，一般为10A或15A。

弱电布线：弱电布线中主要包括同轴细缆、五类网线和电话线等，布线时应注意在每个机柜、设备后面都要有相应的线缆，并应考虑以后的发展需要，各种线缆应分门别类用尼龙编织带捆扎好。接地布线由于新网络实验室内部都是高性能的计算机和网络设备，故对接地应有严格要求;接地也是消除公共阻抗、防止电容耦合干扰、保护设备和人员的安全、保证计算机系统稳定可靠运行的重要措施。在网络实验室地板下应布置信号接地用的铜排，以提供网络实验室内各种接地需要，铜排再以专线方式接入该处的弱电信号接地系统。

布线施工要求线路按最短途径集中敷设，横平竖直，整齐美观、不宜交叉。在同一线管内的不同信号、不同电压等级的线缆应分开敷设，采用各自的保护管。固定设备时、应使设备受力均匀。开槽宽度、根据信号线的多少确定。管内线的面积不得超过管的横截面积的80%地面PVC管要求每间隔2米必须固定；墙面PVC管要求每间隔1米必须固定。直线管的管径利用率应为50%—60%，弯管利用率应为40%—50%。电源线配线时应满足用电设备最大输出功率。所有的线路应贴上标签、并表明类型。施工时一定要做好随工测试工作。

2．NGIL网络综合布线的设计

主要分为工作区子系统设计和水平子系统设计（如图2）：

图2 综合布线系统的设计图

（1）工作区子系统设计

工作区是由水平系统而来的用户信息插座延伸至数据终端设备的连接线缆和适配器组成。工作区的UTP跳线为软线材料，即双绞线的芯丝为多股细铜丝，最大长度不超过5m。大部分UTP的接口都使用直连线（两头均为568A）。

（2）水平子系统设计

水平子系统是从工作区用户信息插座到学校和电信提供的线路连接到外网。由用户信息插座、水平电缆等组成，采用星型拓扑结构，使用光缆构成，提供相当高的宽带，方便实验室进行研究、制作、发布等功能。

参考文献

[1] 谢希仁，计算机网络[M]．4版．北京：电子工业出版社，2004。

[2] 赵凯华.建筑材料[M](第二版).北京：水利水电出版社，1990

[3] 陈鸣，常强林，计算机网络实验教程[M]．北京：机械工业出版社，2007

[4] 杨文安，计算机网络工程设计与实施[M]. 北京：科学出版社，2004.

[5] 焦炳连，浦江．网络工程专业实验室的建设[J]．实验室研究与探索，2006

[6] 刘韵洁，下一代网络[M]．北京：人民邮电出版社．2005.

[7] 黄燕,计算机网络教程[M]，北京：人民邮电出版社，2004

相关推荐